Уразливість в Mango
20:04 30.04.201013.02.2010
У липні, 05.07.2009, я знайшов Cross-Site Scripting уразливість в системі Mango (це блог движок на ColdFusion). Уразливість виявив на сайті http://cfug.org.ua, що використовує даний движок. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.
30.04.2010
XSS:
http://site/archives.cfm/search/?term=%3Cbody%20onload=alert(document.cookie)%3E
Уразливі Mango 1.4.1 та попередні версії.
В Mango 1.4.2 дана уразливість була виправлена. Причому розробники її виправили ще до того, як я їм повідомив про уразливість - коли 13.02.2010 я дійшов до того, щоб оприлюднити дану разливість, я виявив, що вона вже виправлена в останній версії Mango, яка вийшла 02.02.2010.